AWS Key Management Service

AWS Key Management Service (AWS KMS) は、データの保護に使用される暗号化キーの作成と制御を容易にするマネージドサービスです。AWS KMS はハードウェアセキュリティモジュール (HSM) を使用して AWS KMS keys を保護し、FIPS 140-2 暗号化モジュール検証プログラムで検証します。中国 (北京) および中国 (寧夏) リージョンでは、FIP 140-2 暗号化モジュール検証プログラムはサポートされていません。AWS KMS は OSCCA 認定 HSM を使用して、中国リージョンの KMS キーを保護します。

AWS KMS はデータを暗号化するほとんどの他の AWS サービスと統合されています。AWS KMS は AWS CloudTrail とも統合されており、監査、規制、コンプライアンスのニーズに応じて KMS キーの使用をログに記録します。

AWS KMS APIを使用して KMS キーやカスタムキーストアなどの特別な機能の作成および管理ができ、KMS キーは暗号化オペレーションで使用できます。詳細については、「AWS Key Management Service API リファレンス」を参照してください。

AWS KMS keys を作成および管理できます。

• HMAC キーを含めた、対称および非対称 KMS キーを作成、編集、および表示します。

• キーポリシー、IAM ポリシー、グラントを使用して KMS キーへのアクセスを制御します。AWS KMS は属性ベースのアクセス制御 (ABAC) をサポートします。条件キーを使用してポリシーを調整することもできます。

• KMS キーのフレンドリ名であるエイリアスを作成、削除、一覧表示、更新します。また、エイリアスを使用して KMS キーへのアクセスを制御することもできます。

• 識別、オートメーション、コスト追跡のために KMS キーにタグ付けします。タグを使用して、KMS キーへのアクセスを制御することもできます。

• KMS キーを有効および無効にします。

• KMS キーの暗号化マテリアルの自動ローテーションを有効および無効にします。

• KMS キーを削除して、キーのライフサイクルを完了します。

KMS キーは暗号化オペレーションで使用できます。例については、「AWS KMS API のプログラミング」を参照してください。

• 対称または非対称 KMS キーを使用して、データを暗号化、復号、再暗号化します。

• 非対称 KMS キーを使用して、メッセージの署名と検証を行います。

• エクスポート可能な対称データキーと非対称データキーペアを生成します。

• HMAC コードを生成して検証します。

• 暗号化アプリケーションに適したランダムな数値を生成します。

AWS KMS のアドバンスト機能を使用できます。

• 異なる AWS リージョン の同じ KMS キーのコピーのように機能するマルチリージョンキーを作成します。

• KMS キーに暗号化マテリアルをインポートします。

• AWS CloudHSM クラスターによってバックアップされている AWS CloudHSM キーストアで KMS キーを作成します。

• AWS の外部の暗号化キーでバックアップされている外部キーストアで KMS キーを作成します。

• VPC のプライベートエンドポイントを介して AWS KMS に直接接続する

• ハイブリッドポスト量子 TLS を使用して、AWS KMS へ送信するデータの転送時に前方暗号化を提供します。

AWS KMS を使用することで、暗号化するデータへのアクセスをより詳細に制御できます。キー管理および暗号化機能を直接アプリケーションで使用するか、AWS KMS と統合されている AWS サービスを介して使用できます。AWS のアプリケーションに書き込むか、AWS のサービスを使用するかにかかわらず、AWS KMS は AWS KMS keys を使用できるユーザーに対する制御を維持し、暗号化されたデータにアクセスすることができます。

AWS CloudTrail と統合されている AWS KMS は、指定された Amazon S3 バケットにログファイルを配信するサービスです。CloudTrail を使用することで、KMS キーを誰がいつどのように使用したかをモニタリングし、調査できます。

AWS リージョン 内の AWS KMS

AWS KMS がサポートされる AWS リージョン は、AWS Key Management Service エンドポイントとクォータに一覧表示されます。AWS KMS がサポートする AWS リージョン で AWS KMS 機能がサポートされない場合は、その機能に関するトピックでリージョンごとの違いが説明されます。

AWS KMS の料金

他の AWS 製品と同様に、AWS KMS を使用するために必要な契約や最低購入量はありません。AWS KMS の料金の詳細については、「AWS Key Management Service の料金」を参照してください。

サービスレベルアグリーメント

AWS Key Management Service は、当社のサービス可用性ポリシーを定義するサービスレベルアグリーメントによってバックアップされます。

詳細はこちら

• AWS KMS で使用される用語と概念については、「AWS KMS の概念」を参照してください。

• AWS KMS API の詳細については、AWS Key Management Service API リファレンスを参照してください。さまざまなプログラミング言語の例については、「AWS KMS API のプログラミング」を参照してください。

• AWS CloudFormation テンプレートを使用してキーとエイリアスを作成および管理する方法については、AWS CloudFormation ユーザーガイドの AWS CloudFormation での AWS KMS リソースの作成 および AWS Key Management Service リソースタイプリファレンスを参照してください。

• AWS KMS が暗号化を使用し、KMS キーを保護する方法の詳細な技術情報については、「AWS Key Management Service 暗号化の詳細」を参照してください。暗号化の詳細なドキュメントでは、AWS KMS の中国 (北京) および中国 (寧夏) リージョンでの動作方法は説明されていません。

• FIPS エンドポイントを含むそれぞれの AWS リージョン の AWS KMS エンドポイントのリストについては、「AWS 全般リファレンス」の AWS Key Management Service トピックの「サービスエンドポイント」を参照してください。

• AWS KMS に関する質問のヘルプについては、AWS Key Management Service ディスカッションフォーラムを参照してください。

AWS SDK の AWS KMS

• AWS Command Line Interface

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto3)

• AWS SDK for Ruby